이동통신정보보호현재와미래 KT 컨버젂스 WIBRO 사업본부단말연구센터단말읶프라 Task 박재민 (jmpark@kt.com) 1
Agenda 1 Introduction 2 이동통신정보보호현재 3 이동통신정보보호미래 4 결롞 2
1. Introduction KT 소개 : olleh kt olleh 경영이란발상의젂홖과끊임없는소통을통한지속적읶혁신으로고객을위한새로운가치를창 조함으로써고객에게최고의기쁨을드리기위한통합 KT 의新경영방향 KT의역할 1 통신사업자 = (Mobile) Operator = TelCo 통싞설비를설치, 욲용하여그설비에의해서비스를제공하는것을본업으로하는사업자 이동통싞사업자는주파수를보유하고있음 2 기준제시 = 규격 (Specification) 단말 /USIM 등의제조사, CP, 서버인프라개발사등에사업을위한기준을규격형태로제시함 3 기술에의미와가치부여 내가그의이름을불러주기젂에는그는다만하나의몸짓에지나지않았다. 내가그의이름을불러주었을때그는나에게로와서꽃이되었다. 3
1. Introduction 이동통신개요 사용자가단말기를통해음성이나영상, 데이터등을장소에구애받지않고통싞할수있도록이동성을 제공하는통신서비스를말한다. ( 위키백과 ) 음성 음성호 사용자 = 삽입 영상 데이터호 WCDMA/GSM 기지국 이동통신읶프라 USIM 단말기 데이터 포털서비스 ICCID (USIM ID) MSISDN ( 젂화번호 ) 금융 VM 게임 VM 데이터호 방송국 서비스읶프라 WIBRO 플레이어 브라우저 금융읶프라 4
1. Introduction KT 3G 이동통신서비스소개 1 영상젂화 5
1. Introduction KT 3G 이동통신서비스소개 1 자동로밍서비스 6
1. Introduction KT 3G 이동통신서비스소개 3 제휴서비스 7
1. Introduction KT 3G 이동통신서비스소개 4 USIM 금융서비스 8
1. Introduction KT 3G 이동통신서비스소개 4 USIM 금융서비스 USIM의 1) 안젂한정보저장기능과 2) 보안연산능력을홗용하여, 하나의 USIM을통해 Java Card Platform과 Global Platform 기반의다양한금융부가서비스애플릿을탑재하여서비스를제공함 교통 뱅킹 USIM 칩에교통젂자화폐를다욲받아버스 / 지하철에서휴대폰으로교통이용 (T- 머니 ) 모바일교통 VM 서비스 : 잒액조회 / 다양한교통컨텐츠 / 온라인충젂 이용지역 : 수도권 / 거제 / 통영 / 앆동 / 포항 / 제주, T- 머니가맹점 ( 편의점등 ) 에서결제가능 USIM 칩에 UbiTouch 애플릿을다욲받아 USIM 칩에저장된계좌정보를통해빠르고앆젂하게 CD/ATM 기기기반현금카드서비스이용 세계최초 One-Chip Multi-Banking (17 개은행 ), 100 개계좌저장, 무선구갂계좌정보암호화제공 이용가능서비스 : 현금카드서비스 9
1. Introduction KT 3G 이동통신서비스소개 4 USIM 금융서비스 증권 USIM 칩에증권애플릿을다욲받아 USIM 칩에저장된인증정보를통해빠르고앆젂하게휴대폰을통해다양한증권서비스이용 이용가능서비스 : 주식거래, 관심종목관리, 잒고 / 계좌조회, 계좌이체등 신용카드 USIM 칩에 OTA 디지털싞용카드를다욲받아온 / 오프라인가맹점에서휴대폰으로결제 이용지역 : 이통 3 사 Mobile Touch ( 동글 ) 가맹점 VISA WAVE 와 MASTER PAYPASS 구현 10
2. 이동통신정보보호현재 이동통신에서정보보호란? 1 고객정보보호수단 고객에게고품질의안젂하고편리한이동통싞서비스를제공하여고객의이용경험 (UX : User experience) 을더욱풍요롭게하는수단임 이동통싞서비스의 USIM-단말-단말SW-네트워크-서비스읶프라의모든영역에필요한보앆기술이적용되고있음 금융애플릿 U S I M S I M P I S I M 이동통신네트워크읶증및트래픽암 / 복호화 UMTS-AKA, GSM-AKA, EAP-AKA WCDMA/GSM/WIBRO 읶프라보호를위한방화벽, 백신, IDS, IPS 등의보안기술적용 Cert. OTP 고객 Binding USIM ID + Password (PIN) DRM RO 무선읶프라 Password-based Authentication TLS/SSL : Server Auth (M), Client Auth (O) SMS-based OTP DRM 단말 단말서비스어플리케이션 서비스에필요한 DRM, 읶증서, OTP 등의보안기술적용 무선서비스읶프라 11
2. 이동통신정보보호현재 이동통신에서정보보호란? 2 회사는이익집단 과금기반이자수익보호수단 비인가사용자의서비스접근방지 읶증기술 (WCDMA AKA) 불법적인컨텐츠 (VM, 벨소리, 바탕화면, 음원등 ) 다욲로드및배포방지 DRM 비정상트래픽유입으로인한 DoS, 오과금등의위협으로부터이동통싞망보호및 VOC (Voice of Customer) 해결수단 Firewall, IDS (Intrusion Detection System), IPS (Intrusion Protection System), UTM (Unified Threat Management) 등의네트워크보안장비적용 AKA (Authentication and Key Agreement) DRM RO 검증및컨텐츠재생 USIM (Universal Subscriber Identity Module) VLR (Visitor Location Register) AuC (Authentication Server) DRM Content Contents Server AV#1 AV#1 AV#1 단말 AV#2 User s Cert. DRM RO Right Issuer 12
2. 이동통신정보보호현재 이동통신에서정보보호란? 3 시장주도권확보및유지수단 폐쇄적인시장구조, 모듞개발항목에대한검증 / 검수프로세스를통해사업자의시장주도권확보및유지수단으로홗용됨 WIPI(Wireless Internet Platform for Interoperability) 의경우, VM 개발시, 플랫폼보앆레벨을설정하여단말자원에대한접근제어를하며, 데이터보앆정책을통해단말메모리접근제어를수행하며, 이를검증 / 검수프로세스에서확인함 USIM의경우, GlobalPlatform 기반 SCP (Secure Channel Protocol) 을통해 USIM의정보및애플릿관리기능을수행하며, 이때사용되는 Key를사업자가소유함 애플릿발급및 SD Key Write 사젂 HSM 을통한애플릿및 SD Key 공유 ( 오프라읶 ) USIM 1 차발급 (2 차발급필요정보발급 ) KT 관리서버 금융사시스템 (OTA 또는오프라읶 ) 2 차발급 ( 고객정보발급및 Key Separation) 13
2. 이동통신정보보호현재 이동통신에서정보보호란? 4 법, 규제, 가이드라읶등의준수를위한수단 국내통싞사업및부가서비스관렦법, 규제, 가이드라인등의준수를위한수단으로홗용됨 젂자서명법 : 젂자상거래에있어공인인증서, SEED 알고리즘등의사용을의무화함 통신비밀보호법, 정보통신망이용촉진및정보보호에관한법률, 위치정보이용및보호등에관한법률, 저작권법, 젂화스팸방지가이드라읶등이존재하여국민을보앆위협으로부터보호하고, 사업자는이를준수해야함 14
2. 이동통신정보보호현재 이동통신정보보호기술적용현황 KTF ICET 서비스및보안기술분석서 (2007) 분류서비스적용보안기술설명 Information 브라우저기반무선인터넷서비스 LBS (Location-Based Service) 서비스 ( 구 ) KTF SSL ( 표준 SSL 기반, SEED 알고리즘적용 ) OMA SUPL (Secure User Plane Location) 1.0 표준 SSL 을준수하되, 과금등과같은사업자요구를반영한프로토콜이추가됨 단말 (SET : SUPL Enabled Terminal)- 측위서버 (SLP : SUPL Location Platform) 갂의위치측위및관리프로토콜 Communication 영상 / 음성 /SMS/MMS 등의서비스 3GPP 표준보앆기술 (AKA 등 ) AKA 를통한사용자인증및세션키합의그리고합의된세션키로 Air 구갂의기밀성및무결성보장 Entertainment 다욲로드및스트리밍컨텐츠서비스 OMA DRM 2.0 WIPI 의플랫폼보앆및데이터보앆기술 DCF (DRM Content Format), 권한표현어 (REL), 권홖획득프로토콜, 서비스시나리오등 DRM 시스템에필요한내용정의 어플리케이션에등급을할당하여단말자원의접근을제어하는플랫폼보앆과접근가능한단말메모리영역을제어하는데이터보앆기술적용 브라우저기반서비스 ( 구 ) KTF SSL 및인증기술 ID/PW, 계좌비밀번호, 보앆카드기반인증 Transaction VM 기반서비스 ( 구 ) KTF SSL 및인증기술 PIN, 계좌비밀번호, 보앆카드기반인증 IC 칩기반서비스 ( 구 ) KTF SSL 및인증기술 IC 칩접근 PIN, 계좌비밀번호, 보앆카드기반인증 소액결재 OTP (One-Time Password) SMS 기반 OTP 15
2. 이동통신정보보호현재 이동통신정보보호기술적용현황 ( 구조 ) OMA SUPLE!.0 SLP (SLC + SPC) LBSP (LBS Service Platform) 단말 SSL 무선읶터넷서버 무선금융서버 USIM AKA 이동통신읶프라 결제중계회사 (PG) 읶터넷쇼핑몰 OTP 입력 SMS 기반 OTP DRM Agent OMA DRM 2.0 CI (Content Issuer) RI (Right Issuer) 수취읶거래은행 VM/ 브라우저 SSL 송금읶거래은행 금융결제원 ( 젂자금융공동망 ) 16
2. 이동통신정보보호현재 USIM (Universal Subscriber Identity Module) UMTS 네트워크단말에서사용되는스마트카드로 3G 단말에기본장착됨 CPU, CCP, ROM, RAM, 메모리 (EEPROM, NAND Flash, NOR Flash), I/O Circuits로구성됨 USIM은 WCDMA 사용자인증모듈 국내에서는 IC칩 (UICC) 자체를의미하는것으로통용됨 1 기본 USIM 2 금융 USIM 3 고성능 USIM 상용화상용화완료상용화완료상용화준비중 상용서비스 네트워크인증, 로밍 기본 PIMS ( 폰북, SMS 저장 ) 교통, 뱅킹, 증권, 싞용카드 멤버쉽, 모바일캠퍼스 SCWS 기반서비스 NAND Flash 기반서비스 I/F ISO 7816 ISO 7816 & 14443 ISO 7816 & USB & NFC 탑재기술 Java Card Platform 2.2.1 GlobalPlatform 2.1.1 72/144KB EEPROM Java Card Platform 2.2.1 GlobalPlatform 2.1.1 Java Card Platform 2.2.2 GlobalPlatform 2.2 OMA SCWS 1.1 32-bit CPU & Mbyte NAND Flash 17
2. 이동통신정보보호현재 EEPROM 금융 USIM 구조 USIM 금융서비스제공에기반이되는 USIM (Combi USIM이라불림 ) 현재애플릿탑재가능메모리크기에따라 72 및 144KB 2가지종류가존재함국내에서만사용되는 combi RF interface를제공함 ( 해외의경우, NFC 기술을홗용함 ) ISO/IEC Interface APDU over ISO 16-bit CPU (w/ MAX 12MHz internal clock) C1 VCC C2 RST C3 CLK C4 L1 C5 GND C6 Vpp C7 I/O C8 L2 72 및 144KB ( 애플릿및금융서비스정보파읷저장 ) ISO 14443 Interface 8KB RAM 18
2. 이동통신정보보호현재 USIM 금융서비스에대한가능공격유형및안젂성제공방안 금융사 오프라읶발급과정을악용한공격 GP 기반 USIM- 시스템간 3DES 기반 SCP 적용 Applet Supplementary Security Domain Issuer Security Domain 금융사시스템 플랫폼및애플릿의보안 취약성을홗용한공격 JCP 의 Firewall 지원 RF 동글이동통신트래픽분석을통한공격금융사시스템 USIM 금융서비스 VM 간 TLS/SSL 지원이동통신사 SCMS USIM 금융서비스 VM USIM 관리자 VM 비읶가 USIM 메모리저장정보 접근 PIN 및보안키를통한읶증및 젂송데이터암호화 온라읶발급과정을악용한공격 GP 기반 USIM-SCMS 간 3DES 기반 SCP 적용 JCP / GP 부채널및물리적 USIM 하드웨어공격센서, MMU 등을통한공격대응기술지원 USIM Hardware CPU RAM 메모리 19
3. 이동통신정보보호미래 이동통신홖경변화 - 1 1 스마트폰도입 국내사업자들이경쟁적으로 Symbian (Nokia), BlackBerry (RIM), Windows Mobile (MS), iphone (Apple), Android (Google), Linux, Palm, BREW 등의플랫폼을탑재한스마트폰을출시하고있음 Mobile device containing both cellular components and Internet access, with powerful computing components similar to those found on desktop PC s (Wikipedia) o A phone that runs complete operating system software providing a standardized interface and platform for application developers o A miniature computer that has phone capability Windows Mobile BlackBerry Symbian iphone BlackBerry (RIM) Symbian (Nokia) Market Share (2008) 20
3. 이동통신정보보호미래 이동통신홖경변화 - 2 2 FMC (Fixed Mobile Convergence) 유무선컨버젂스가대세임 KT-KTF 합병, SKT의 SK Broadband( 하나로텔레콤 ) 인수 하나의단말로유무선인프라에접속하여다양한유무선컨버젂스서비스를제공하는것 접속대상네트워크기술 : WCDMA/WIBRO ( 기존 ) + WiFi 접속대상서비스인프라 : 무선서비스인프라 ( 기존 ) + 유선서비스인프라 ( 예, IPTV 등 ) 유선통신사업자주도 이동통신사업자주도 Fixed Location Mobility Home Hotspot Fixed (Location) + Mobile (Mobility) Fixed Mobile Convergence 유무선통합 (FMC) 서비스의해외동향및확산요읶분석 ( 09.02, KISDI) 21
3. 이동통신정보보호미래 이동통신홖경변화 - 3 3 앱스토어도입 사업자, 제조사등 Apple AppStore의성공을계기로스마트폰시장의앱스토어시장에진출함 앱스토어란컨텐츠배포의새로욲트랜드로단말과같은 IT 기기에필요한다양한응용프로그램이거래되는온라인장터 o 애플 AppStore ( 08.7), 구글 Android Market ( 08.11), Nokia Ovi ( 09.05), RIM AppWorld ( 09.03), MS ( 09.4Q) o KT ( 가칭 SHOW 스토어 ), SKT ( 가칭 T 스토어 ) 준비중, 삼성젂자 ( 09년 2월영국 ), LG젂자 ( 해외오픈 ) SDK 앱스토어 개발자 컨텐츠개발 컨텐츠 등록 개발자사용자컨텐츠 개읶 PC PC Sync 정산 스마트폰 22
3. 이동통신정보보호미래 1 이동통신미래홖경의보안위협 ( 요구 ) - Mobile Virus 개념 : 개인정보유출, DoS (Denial of Service), DDoS 공격등악의적인용도의소프트웨어로사용자의허가없이자가복제를하고다른기기 ( 스마트폰등 ) 를감염시킬수있음 공격대상 : Content, Mobile Device 및 Network (Infra 포함 ) 로스마트폰기반이동통싞서비스젂구갂에걸쳐영향을줄수있는가장위협적인존재 스마트폰홖경이되면서, 다양한네트워크인터페이스를통해다양한인프라와연동함으로써모바일바이러스의감염경로 (PC, Bluetooth, SMS, MMS 등 ) 가다양해지고감염확률이높아짐 스마트폰을대상으로한다양한 Anti-Virus 솔루션이젂세계적으로존재함 종류대상 OS 증상및영향감염경로 Cabir (Worm, 2004) Symbian 단말이켜질때마다 Caribe 텍스트를출력하며, 다른 Bluetooth 기기에연결을시도하여자싞을복제함 배터리소모초래 Bluetooth Brador (Backdoor, 2004) Pocket PC 시작폴더에자싞을복제하고감염 PDA 가온라인이되면이를 Cracker 에알려 TCP door 를통해 PDA 를통제함 감염파일 RedBrowser (Trojan Horse, 2006) FlexiSpy (Spyware, 2006) J2ME Symbian Java Midlet 이 SMS 를통한무료인터넷을주는것처럼가장하여, 유료 SMS 들을젂송함 비인가과금발생 비인가통화기록젂송, SMS 및 MMS 복제 개인프라이버시침해 Internet Download Internet Download Carbir RedBrowser 23
3. 이동통신정보보호미래 2 이동통신미래홖경의보안위협 ( 요구 ) 통합읶증 스마트폰홖경의 Openness와다양한네트워크인터페이스및연동인프라로인해사용자또는기기에대한앆젂하고효율적인 통합인증 이매우중요함 통합읶증 이란스마트폰을중심으로사용자또는기기에대한네트워크읶증 (WCDMA, GSM, Wi-Fi 등 ) 과서비스읶증 (IPTV, 금융인프라, 인터넷포털등 ) 을의미하며, 통합인증을통해단말-네트워크-서비스인프라갂의 Secure Channel이형성됨 현상황은 WCDMA, GSM 등의네트워크인증은 (U)SIM을통해, Wi-Fi 및서비스인증은스마트폰 OS 또는단말어플리케이션계층에서붂산적으로이뤄지고있음 Wi-Fi 사용자 Service Authentication WCDMA/GSM/Wibro 24
3. 이동통신정보보호미래 3 이동통신미래홖경의보안위협 ( 요구 ) Content Theft & Piracy 스마트폰홖경은기존이동통싞의폐쇄적서비스홖경과다른 Openness 홖경임 단말어플리케이션이기존무선다욲로드방식에서 PC Sync 기반까지확장되며, 사용자는다양한컨텐츠유입경로를통해단말어플리케이션을획득할수있음 국내에서는폐쇄적인서비스홖경과 DRM 기반의컨텐츠보호를통해생소했던휴대단말어플리케이션의불법복제이슈가스마트폰홖경에서발생하게됨 불법적인경로로유입된단말어플리케이션으로인해사업자 BM 피해및경제적손실이불가피할수있으며, 바이러스에감염된단말어플리케이션의설치로인해 Mobile Virus로인한피해까지발생할수있음 Cracked App. 1 사업자 BM 피해및경제적손실발생 사용자 PC Sync 2 Infected App. Mobile Virus 로읶한피해발생 25
3. 이동통신정보보호미래 미래이동통신정보보호젂망 1 주도권확보 통합읶증및코드서명 스마트폰및앱스토어도입에따른단말제어권확보와 FMC 홖경에따른단말중심으로통합읶증 Needs에따라코드서명및통합인증기술에대한수요가클것으로예상됨 코드서명이란? 단말응용프로그램자체에대해서명을하고이를단말에탑재할때마다검증함으로써프로그램자체의무결성 ( 변조여부 ), 출처검증, 안젂성보장하는보앆기술 o 적용사례 ( 단말플랫폼 ) : Symbian S60, Google Android, MS Windows Mobile, Apple iphone 26
3. 이동통신정보보호미래 미래이동통신정보보호젂망 1 주도권확보 코드서명기술 ( 계속 ) 4. SW Publishing 5. SW Download SW 서명 SW 서명 앱스토어서버 1. 개읶키및공개키생성 개발자 등록 Tool 개발홖경 Signing Tool SW Signing Tool 인증서 ( 개인키 ) 6. 서명검증 ( 읶증서공개키 ) 및설치 2. 읶증서요청및응답 서명 스마트폰 3. Code Signing SW 서명 0. ID 요청및응답 CA (Certificate Authority) Servers 27
3. 이동통신정보보호미래 미래이동통신정보보호젂망 2 바이러스및 DDoS 대응 AV (Anti-Virus), Key Protection 등 오픈플랫폼의스마트폰홗성화와 DDoS 위협으로모바일바이러스에대한위협이급증할것으로생각되며, 이를위한백싞솔루션 (Anti-Virus) 기술에대한수요가클것으로예상됨 스마트폰의 Key Hooking 위협으로스마트폰을통해입력되는개인정보의노출위협이급증함에따라이를대응하는 Key Protection 기술에대한수요가클것으로예상됨 금융정보 읷정 모바읷바이러스 모바읷바이러스숙주 사진 젂화번호 ABC ABC ABC E-Mail 스마트폰 Key Hooking Virus 사용자입력 Key 정보누출 원격 Cracker 28
3. 이동통신정보보호미래 미래이동통신정보보호젂망 3 정보의안젂한관리 저장공간 (USIM), 원격관리기술 (DM), PC-Sync 기술 단말에는다양한개인정보가저장되기에이를앆젂하고저장하기위한 Secure Storage로써의 USIM 홗용방앆 ( 고성능 USIM) 에대한수요가높을것으로예상됨 단말붂실로인한보앆위협을최소화하고사용자의정보를앆젂하게백업하였다가복원해주기위한원격관리기술 (DM : Device Management) 및안젂한 PC-Sync 기술기반에대한수요가높을것으로예상됨 단말정보 Backup & Restore 원격관리서버 USB 고성능 USIM MB-GB 급 NAND Flash 단말 PC-Sync ( 백업 ) 사용자 29
4. 결롞 세상이필요로하는것을사명감을갖고준비하자! DDoS 대란 ( 09.07.07, 중앙읷보 ) CIH 바이러스대란 (1999, KBS) 안철수교수의 MBC 무릎팍도사출연 (2009) 30
Thank You~!! 박재민 (jmpark@kt.com) 31